Os planteo una duda que tengo a raíz de este hilo que acabo de publicar: Configurar servidor DNS de los descodificadores UHD.
En casa el servidor DNS y DHCP lo lleva un piHole y tengo borradas todas las reglas de acceso al router desde el exterior y bloqueadas en el piHole las llamadas a casa del HGU. Aun así, si entro en la app Mi Movistar me dice que hay X dispositivos conectados.
¿Cómo es esto posible?
Esta es la tabla de IP.
Y estos los bloqueos del piHole:
El HGU no pasa por el pihole
Yo creo que sí que pasa, ¿no? Está configurado para que pregunte al piHole. De acuerdo a los pantallazos que he puesto cualquier llamada al puerto 53 se redirige al 5053 del piHole.
¿Podría ser por estar en la beta de IPv6? No tengo muy claro cómo configurar las tablas de IP para IPv6 en el HGU.
Es posible que haga una conexión directa por IP sin resolver DNS. También es posible que el firewall del HGU siempre permita pasar las conexiones entrantes de Movistar.
Eso había pensado. Cuando configuré el HGU y le puse como DNS en el mio apareció una Static Route automaticamente que no consigo eliminar:
No, esa regla que has creado con el puerto 5053 no redirige nada. Es un firewall, no una NAT.
Lo configuré así a raíz de un hilo que vi en este mismo foro. A ver si consigo localizarlo.
¿Podría ser por estar en la beta de IPv6?
Sí, puede ser perfectamente. Que esté comunicandose con IPv6. Pero aunque tú bloquees los accesos salientes por DNS, puede estar realizando conexiones por IP, además tienes abierto el acceso al router desde el exterior, ¿qué impide a Movistar entrar?
Yo tengo algo similar, DNS + DHCP con pihole, pero el router, en mi caso de Lowi, ve los equipos en la red, que no se use como server DHCP y que se use un DNS fuera del router no quiere decir que no vea los equipos, supongo que lo que hace la app de Movistar es consultar al router a traves de TR069 o algo similar, y de ahí saca el listado.
El pihole no hará que el HGU no se comunique con los servidores de Movistar, tiene su propio DNS configurado en la conexión WAN. El que configuras tú en LAN - DHCP es sólo para asignar a los hosts.
Seguramente la comunicación sea por TR069.
Y entonces, ¿esos bloqueos a main.acs.telefonica.net o hgu.rima-tde.net a qué se deben?
Porque el acceso al router desde Alejandra o el 1002 está cerrado, eso lo tengo comprobado. Y yo pensaba que sí que había conseguido bloquear las llamadas a casa con el pihole por lo que veía en el log.
Tienes un gravísimo problema de seguridad en ese firewall. Tienes una regla entrante en IPv4 que permite la conexión al HGU al puerto 80 desde el exterior y desde cualquier IP.
Sí, esa regla la puse yo a posta. Para poder acceder a la interfaz web del router. El password está cambiado.
Madre mía, creo que no eres consciente del enorme problema de seguridad que eso supone… y puede entrar también Movistar.
Es la app móvil? Y, eso te sale cuando estás conectado a la red WiFi o también desde fuera de ella?
Yo miraría a dónde está llamando la app. Lo digo porque aparte del TR069 a lo mejor puede ser alguna API que el HGU exponga internamente a la LAN para que la app lo pueda controlar.
Acabo de probar a desinstalar la app "Mi Movistar" del móvil, y reinstalarla y usarla con 4G. Aparece también el número de dispositivos conectados.
En el pihole tengo puesto como dominio local "my.home" y los dispositvos que me dice que están conectados los numera como alexa.my.home, iphone11.my.home, etc…
main.acs.telefonica.net y hgu.rima-tde.net son los servidores ACS de Telefónica para la configuración en remoto de los HGU a través de TR-069. Tanto para la telecarga (la configuración de la VLAN de internet, configuración de la VLAN de la TV y configuración de la voz) como para la actualización en remoto de los routers.
En Movistar saben hasta si tienes un switch de varios puertos para conectar más cosas a internet o un extensor de wifi de forma remota conectada a tu red local
Movistar solo "sabe" las MACs que hay detrás del HGU y puede llegar a saber, cuales están por WiFi y cuales por cable, NADA MAS, lo de que te tengas un switch, lo puede inferir de que aparezcan más de una MAC en una de las bocas LAN del HGU.
Para el caso es lo mismo. Si de un puerto de internet salen varias MAC ¿qué puede haber ahí enchufado? De hecho cuando hace tiempo tuve problemas con un deco 4K porque se congelaba la imagen y no tenía ni idea del tema IGMP snooping y de los problemas que podían dar si el switch no tenía la opción de habilitarlo y llamé, lo primero que me preguntó el del 1002 y sin yo haberle dicho nada fue si tenía algún switch enchufado a uno de los puertos.
lo primero que me preguntó el del 1002 y sin yo haberle dicho nada fue si tenía algún switch enchufado a uno de los puertos
Probablemente sea casualidad y lo preguntan a todos por protocolo.
Si de un puerto de internet salen varias MAC ¿qué puede haber ahí enchufado?
Un AP, por ejemplo. Un Bridge. Un Switch… Pueden ser muchas cosas.
Eso te lo han preguntado porque la persona que te atendió tiene experiencia.
La aplicación para ACS que usamos con más frecuencia no lista las macs por puerto.
Si tu configuración es Fibra → HGU → Pihole … no estás evitando de ninguna manera el acceso de Movistar al HGU.
Como te han dicho, lo sabe porque Movistar no está mirando la asignación DHCP en ningún momento. Está mirando los dispositivos que hay conectados al HGU directamente.
Internet → HGU → Resto de dispositivos (incluyendo piHole)
El piHole no tiene capacidad para bloquear nada del exterior. No es un firewall. Sólo delega en tu red interna. Si quieres protección ante miradas indiscretas, tan fácil como sustituir el HGU o poner un firewall que actúe antes de que el tráfico llegue al HGU… Aunque eso te va a generar perjuicios con el tema de la TV.
Y por favor, no hagas locuras como permitir el tráfico entrante a los puertos 80 y 443 sin discriminar IPs. Los routers de las operadoras no se actualizan tanto como para creer que no puedes ser objetivo de ataques.
